Corajoso divulgado vulnerabilidades de segurança em navegadores de IA que podem permitir que sites maliciosos sequestrem assistentes de IA e acessem contas de usuários confidenciais.

O problemas afetam Perplexity Comet, Fellou e potencialmente outros navegadores de IA que podem realizar ações em nome dos usuários.

As vulnerabilidades resultam de ataques indiretos de injeção imediata, em que os sites incorporam instruções ocultas que os navegadores de IA processam como comandos legítimos do usuário. Brave publicou as descobertas depois de relatar os problemas às empresas afetadas.

O que o corajoso encontrou

Vulnerabilidade do Cometa Perplexidade

O recurso de captura de tela do Comet pode ser explorado incorporando texto quase invisível em páginas da web.

Quando os usuários fazem capturas de tela para fazer perguntas, a IA extrai texto oculto usando o que parece ser OCR e o processa como comandos, em vez de conteúdo não confiável.

Notas corajosas O Comet não é de código aberto, então esse comportamento é inferido e não pode ser verificado no código-fonte.

As instruções ocultas usam cores fracas que os humanos mal conseguem ver, mas os sistemas de IA extraem e executam. Isso permite que invasores emitam comandos ao assistente de IA sem o conhecimento do usuário.

Vulnerabilidade de navegação Fellou

O navegador Fellou envia o conteúdo da página da web para seu sistema de IA quando os usuários navegam para um site.

Pedir ao assistente de IA para visitar uma página da web faz com que o navegador passe o conteúdo visível da página para a IA de uma forma que permite que o texto da página da web substitua a intenção do usuário.

Isso significa que visitar um site malicioso pode desencadear ações indesejadas de IA sem exigir interação explícita do usuário com o assistente de IA.

Acesso a contas confidenciais

As vulnerabilidades tornam-se perigosas porque os assistentes de IA operam com privilégios de autenticação de usuário.

Um navegador de IA sequestrado pode acessar sites bancários, provedores de e-mail, sistemas de trabalho e armazenamento em nuvem onde os usuários permanecem conectados.

Brave observa que mesmo resumir uma postagem do Reddit pode resultar no roubo de dinheiro ou dados privados por invasores se a postagem contiver instruções maliciosas ocultas.

Contexto da Indústria

Brave descreve a injeção indireta imediata como um desafio sistêmico enfrentado pelos navegadores de IA, em vez de um problema isolado.

O problema gira em torno dos sistemas de IA que não conseguem distinguir entre informações confiáveis ​​do usuário e conteúdo de páginas da web não confiáveis ​​ao construir prompts.

A Brave está retendo detalhes de uma vulnerabilidade adicional encontrada em outro navegador até a próxima semana.

Por que isso é importante

Brave argumenta que os modelos tradicionais de segurança na web quebram quando os agentes de IA agem em nome dos usuários.

Instruções em linguagem natural em qualquer página da Web podem desencadear ações entre domínios que atingem bancos, prestadores de serviços de saúde, sistemas corporativos e hosts de e-mail.

As proteções políticas de mesma origem tornam-se irrelevantes porque os assistentes de IA executam com privilégios totais de usuário em todos os sites autenticados.

A divulgação chega no mesmo dia em que a OpenAI lançou o ChatGPT Atlas com recursos de modo de agente, destacando a tensão entre a funcionalidade e a segurança do navegador AI.

Pessoas que usam navegadores de IA com recursos de agente enfrentam uma troca entre recursos de automação e exposição a essas vulnerabilidades sistêmicas.

Olhando para o futuro

A pesquisa da Brave continua com descobertas adicionais programadas para divulgação na próxima semana.

A empresa indicou que está explorando soluções de longo prazo para resolver os problemas de limites de confiança na navegação agente.

Imagem em destaque: Quem é Danny/Shutterstock